pr.exe、Churrasco.exe、ms10048.exe用法及提权原理
2012-09-17 10:41
441 查看
1.Churrasco.exe是Windows2003系统下的一个本地提权漏洞,通过此工具可以以SYSTEM权限执行命令,从而可以达到添加用户的目的。
使用方法:
Churrasco.exe "net user admin1 admin1 /add && net localgroup administrators admin1 /add"
补丁名:kb952004
2.pr.exe 提权Windows跟踪注册表项的ACL权限提升漏洞
Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM权限的提升。
使用方法:
pr.exe “gets.exe $local”
pr.exe “net user admin1 admin1 /add & net localgroup administrators admin /add”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/6ff5cb25d21e4a284f52dbd4de1941e7.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/bfcfcebe4ef7b0f3687341bdedf100b0.jpg)
release.exe是release版编译生成的
debug.exe是debug版编译生成的
测试时直接通过wscript.shell调用
debug版的有回显,release的没有回显,两个都发出来个大家测试下
3.ms10048提权
Windows中的win32k.sys内核驱动中的xxxCreateWindowEx函数在处理某些回调参数时存在内核级权限提升漏洞。在正常情况下从用户空间调用CreateWindow时,会执行NtUserCreateWindowEx内核函数,xxxCreateWindowEx位于内核端调用栈上的临近位置。之后的函数会检查回调函数(或钩子)并调用xxxCallHook将注册的回调函数分发到用户空间。
用于将参数传送回创建窗口的进程的机制存在漏洞。这些参数通过栈传送到了用户空间,并在执行了回调函数后被内核重用。如果回调函数将hParent参数重置为类似于0xffffffff或0xfffffffe的伪句柄值,内核就会崩溃。
成功利用这个漏洞的攻击者可以执行任意内核态代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
使用方法:
USE MS10048.EXE NET USER XX XX /ADD
USE MS10048.EXE MUMA.EXE
第一个是X64位,第二个是X86
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/57ffb5d346ae11c55f612c11c5ece857.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/c2b571299c05b0b6904e9c75075275f1.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/cf12f43490115990d9cb3179e5e3bfc5.jpg)
使用方法:
Churrasco.exe "net user admin1 admin1 /add && net localgroup administrators admin1 /add"
补丁名:kb952004
2.pr.exe 提权Windows跟踪注册表项的ACL权限提升漏洞
Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM权限的提升。
使用方法:
pr.exe “gets.exe $local”
pr.exe “net user admin1 admin1 /add & net localgroup administrators admin /add”
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/6ff5cb25d21e4a284f52dbd4de1941e7.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/bfcfcebe4ef7b0f3687341bdedf100b0.jpg)
release.exe是release版编译生成的
debug.exe是debug版编译生成的
测试时直接通过wscript.shell调用
debug版的有回显,release的没有回显,两个都发出来个大家测试下
3.ms10048提权
Windows中的win32k.sys内核驱动中的xxxCreateWindowEx函数在处理某些回调参数时存在内核级权限提升漏洞。在正常情况下从用户空间调用CreateWindow时,会执行NtUserCreateWindowEx内核函数,xxxCreateWindowEx位于内核端调用栈上的临近位置。之后的函数会检查回调函数(或钩子)并调用xxxCallHook将注册的回调函数分发到用户空间。
用于将参数传送回创建窗口的进程的机制存在漏洞。这些参数通过栈传送到了用户空间,并在执行了回调函数后被内核重用。如果回调函数将hParent参数重置为类似于0xffffffff或0xfffffffe的伪句柄值,内核就会崩溃。
成功利用这个漏洞的攻击者可以执行任意内核态代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
使用方法:
USE MS10048.EXE NET USER XX XX /ADD
USE MS10048.EXE MUMA.EXE
第一个是X64位,第二个是X86
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/57ffb5d346ae11c55f612c11c5ece857.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/c2b571299c05b0b6904e9c75075275f1.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/23/cf12f43490115990d9cb3179e5e3bfc5.jpg)
相关文章推荐
- 绿色SQL Server原理(1)Sqlservr.exe 运行参数
- tomcat原理(三)结合公司tomcat的用法的在理解
- ASP.NET Core MVC 模型绑定用法及原理
- MySQL Server 5.0–安装及配置/MySQLInstanceConfig.exe用法详解
- 【SQL Union操作符原理与用法】
- Java核心类库——IO原理和用法
- GO Slices: 用法与原理
- ThreadLocal用法和实现原理
- [转bingle文章]创建SVCHOST.EXE调用服务的原理与实践!
- block的用法 实现原理
- com/exe文件结构及原理
- assert宏的用法及原理
- 简介Python之super的用法及原理
- python模块之HTMLParser之穆雪峰的案例(理解其用法原理)
- SQL注入中利用XP_cmdshell提权的用法(转)
- js中的return布尔值的用法和原理
- JavaScript中的return布尔值的用法和原理解析
- va_list原理及用法
- .NET SDK中CorFlags.Exe的用法
- Action和Func原理和用法